Fortnite zagrożeniem dla smartfonów? Pracownik Google’a odnalazł błąd w grze

mm Michał Derej Artykuły 2018-08-25

Fortnite to gra typu battle royale, na którą z niecierpliwością czekało wielu użytkowników Androida. Epic Games zaskoczyło jednak wszystkich decyzją o tym, że produkcji nie znajdziemy w sklepie Google Play – zamiast tego chętna osoba zmuszona jest pobrać specjalny instalator ze strony twórców. Pomimo tego, że aplikacja nie znalazła się w oficjalnym sklepie giganta z Mountain View, to korporacja podjęła już kroki mające na celu zabezpieczyć smartfony użytkowników. Teraz natomiast inżynier Google’a odnalazł poważny błąd w grze Fortnite.  

Poważny błąd bezpieczeństwa w Fortnite. Smartfony użytkowników były zagrożone!

Błąd bezpieczeństwa w Fortnite

Pracownik Google’a na forach Issue Tracker opublikował post, w którym poinformował nas, jak w łatwy sposób można było zainfekować smartfony użytkowników dzięki popularnej ostatnio metodzie ataku o nazwie Man-in-the-Disk. Temu problemowi poświęciłem na łamach naszej strony oddzielny artykuł – zapoznajcie się z nim, by w pełni zrozumieć, jak dowolna aplikacja zainstalowana w pamięci smartfona może w złośliwy sposób wpływać na inne programy. Na czym zatem polegała luka w instalatorze Fortnite’a?

Zobacz też: Sprzedaż Samsunga Galaxy Note9 wygląda rewelacyjnie.

Jak możemy przeczytać w wątku stworzonym przez pracownika Google’a, instalator gry (com.epicgames.portal) po pierwszym uruchomieniu rozpoczyna proces pobierania ogromnego pliku .apk (com.epicgames.fortnite), w którym zapisane są wszystkie elementy produkcji. Plik ten zapisywany jest poza chronioną pamięcią aplikacji, zatem każdy program z uprawnieniami odczytu i zapisu w pamięci wewnętrznej ma możliwość modyfikacji tych danych. Po zakończonym procesie pobierania weryfikowany jest cyfrowy podpis pliku .apk, lecz nie jest on sprawdzany przed instalacją. Oznacza to, że dowolna złośliwa aplikacja może podmienić pobrany plik .apk zaraz po pobraniu, co spowoduje, że użytkownik poproszony zostanie o zainstalowanie innego programu. Jedynym wymogiem jest to, by zgadzała się nazwa pakietu (com.epicgames.fortnite) – jeżeli tak jest, to instalator Fortnite bezproblemowo zainicjuje instalację dowolnej aplikacji.

Co robić, jak żyć?

Jeżeli jesteście fanami gry Fortnite i posiadacie ją na swoim smartfonie, to nie musicie robić niczego – błąd został już załatany, a o usterce poinformowani zostaliśmy już po fakcie. Na całe szczęście urządzeń graczy Fortnite’a nie można już zatem w łatwy sposób shakować.  Co ciekawe, Epic Games poprosiło pracownika firmy Google, by szczegóły na temat ataku opublikowane zostały 90 dni po dacie załatania błędu. Ten jednak nie zgodził się na to, powołując się na politykę giganta z Mountain View, zgodnie z którą informacje tego typu publikowane są 7 dni po dacie wydania odpowiedniej łatki. Co sądzicie o grze Fortnite? Czy spędzacie w niej swój wolny czas? Dajcie znać w komentarzach.

Źródło: Google Issue Tracker



  • Martina Neumayer

    Kurrr.. a gdzie ma zapisać, skoro samo memory management andkowe nie pozwala na to? Pan dev guglowy powinien to wiedzieć. Tak samo powinien wiedzieć jak działa „private internal storage” oraz jakie ma ono limitacje.
    A także powinien wiedzieć o zachowaniu ogólnie przyjętych 90 dni na reakcję twórców i nie publikowaniu takich info publicznie gdzieś w necie. O czym nawet InfoSec go poinformowali.

    Z resztą.. tony apek z guglo sklepu robi dokładnie to samo i jakoś o nich nikt nic nie wspomina, że są niebezpieczne i mimo takiego zagrożenia w dalszym ciągu są one w owym oficjalnym i niby bezpiecznym sklepie.
    (sarcasm mode off)

    • Michał Derej

      Tak jak wspomniałem, Google ma nieco inny system publikowania luk.

      • Martina Neumayer

        Przecież to jest ich własny system. Te 90 dni to ich wymysł.

        • ZjemCiKolege

          A to nie czasem w chromie i windowsie

          • Martina Neumayer

            Nie wiem, obu nie używam. A reguła owa obowiązuje ogólnie wszystkie guglo sprawy.

          • łukasz Jedryszczyk

            Nie jeśli błąd jest już załatany

          • Martina Neumayer

            Czas ów jest dany na propagację fixa. Kto tego pojąć nie potrafi.. cóż.. ma raczej problem w potokach myślowych.



x